Chaoso kenkėjiška programa klaidingai reklamuojama kaip „Ryuk Clone“
Saugumo tyrinėtojai atrinko naują kenkėjiškų programų atmainą, kurią dabar vadina chaosu. Kenkėjiška programa jų radaruose buvo trumpą laiką, pirmą kartą pastebėta 2021 m. Birželio mėn., Ir atrodo, kad blogi veikėjai už jos perjungia pavaras ir ruošiasi paleisti ją pirmajai išvykai gamtoje.
Chaosas iki šiol nebuvo naudojamas aktyvioje atakos ar grėsmės kampanijoje, tačiau atrodo, kad ši akimirka nėra per toli. Jį kuriantys ir atnaujinimus tamsiuose interneto forumuose skelbiantys įsilaužėliai didino atnaujinimo tvarkaraštį, o „Chaos“ netrukus gali būti pasirengusi pirmajai ekskursijai į gamtą. Vos per du mėnesius kenkėjiška programa buvo atnaujinta keturis kartus.
Tyrėjai, dirbantys su „Trend Micro“, išanalizavo „Chaos“ ir atrado keletą įdomių dalykų. Dėl produkto, kuris netrukus gali būti parduotas kitiems pradedantiesiems įsilaužėliams, „Chaos“ daug meluoja. Visų pirma, jis apsimeta liūdnai pagarsėjusios „Ryuk“ išpirkos programos šakute, tačiau užkoduota .NET. Tai pažymėta net išpirkos ekrane, kuriame yra užrašas ir kriptografinės piniginės eilutės.
Tačiau, kai „Trend Micro“ tyrinėtojas Monte de Jesus išskyrė kenkėjiškos programos vidų, paaiškėjo, kad tai toli gražu nėra. Chaosas veikia taip, kad jis labiau panašus į „griaunamąjį trojaną“ nei į įprastą išpirkos programinę įrangą.
Prieš užšifruodamas failus, „Chaos“ pakeičia jų turinį atsitiktiniais baitais. Tai iš tikrųjų reiškia, kad net jei auka sumokėtų išpirką ir gautų iššifravimo raktą, jie tiesiog iššifruotų savo failus į didelius atsitiktinių duomenų blokus.
Įdomus „Chaos“ įrankių rinkinio priedas, be valytuvų savybių, yra galimybė išplisti į bet kurį diską, prijungtą prie aukų sistemos. Tai yra problema, nes ši sliekavimo galimybė taip pat apima išimamus diskus.
Kenkėjiškos programos išpirkos pastaba vadinama „read_it.txt“. Jame Chaosas prašo šiek tiek daugiau nei 6 tūkst.
Kai kenkėjiška programa buvo atnaujinta, ji pamažu pradėjo elgtis labiau kaip tradicinė išpirkos programa. Laipsniški atnaujinimai suteikė galimybę tinkamai užšifruoti nedidelius failų dydžius, nesunaikinant jų pradinių duomenų. Tačiau net ir naujausioje iteracijoje „Chaos“ nėra visavertė, tinkama išpirkos programa. Tai tikriausiai pasikeis, nes įsilaužėliai ją toliau vystys. Tačiau tai nesumažina pavojaus, kurį Chaosas kelia kaip destruktyvų duomenų valymo įrankį.
